Las nuevas directivas europeas enfocadas al desarrollo de la economía circular sostenible y la nueva Ley 7/2022 de 8 de abril, de residuos y suelos contaminados para una economía circular (LRSCEC) han establecido una serie de objetivos de reutilización y reciclado muy ambiciosos que están alejados de la realidad de las entidades locales. Para poder alcanzar las metas impuestas, la LRSCEC ha apostado por la implantación de sistemas de recogida de alta eficiencia 1 , como el puerta a puerta o el uso de contenedores cerrados o inteligentes, así como la implementación de una tasa que permita el pago por generación 2 . Estos sistemas conllevarán la identificación de los usuarios del servicio, consecuentemente las entidades adjudicatarias acabarán manejando importantes flujos de datos y los contratos públicos deberán ajustarse a la legislación de protección de datos en atención a la tipología de los mismos y los riesgos presentes en un posible tratamiento masivo.
Elementos como la base de legitimación, el exceso de datos recabados o la falta de evaluaciones de impacto, han sido objeto de controversia a ojos de la Agencia Española de Protección de Datos (AEPD) y de las agencias autonómicas. Si bien, el flujo de datos entre los ayuntamientos y las empresas concesionarias del servicio de recogida de residuos también ha sido objeto de duda, como en el dictamen CNS 6/2020 emitido por la Autoridad Catalana de Protección de Datos (ACPD). En este caso el ayuntamiento manifestaba su voluntad de implementar un nuevo sistema de gestión y recogida selectiva de residuos basado en el control de acceso con identificación de usuarios en contenedores de resto y orgánico. La idea era llevar a cabo una implementación en tres fases con el objetivo final de establecer el sistema de pago por generación, comenzando por la creación de una base de datos para la implementación del servicio. Dos cuestiones fueron planteadas por el ayuntamiento, la primera, si el tratamiento de datos que se pretende llevar a cabo está legitimado para la gestión y tratamiento de residuos y, en la segunda, si la cesión de la base datos de los habitantes del municipio a un tercero sería posible, en cuyo caso, si sería suficiente con que el encargado de tratamiento tuviera un contrato conforme al Reglamento General de Protección de Datos (RGPD).
Respecto a la legitimación, el artículo 6.1 del RGPD regula las bases jurídicas en las que puede fundamentarse el tratamiento de datos personales, concretamente el apartado e) dispone que éste será lícito si resulta necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Por su parte, el artículo 6.3 establece que esa base anterior debe estar establecida por el Derecho de la Unión o por el derecho de los Estados miembro que se aplique al responsable del tratamiento. Ahora bien, la remisión a la base legítima establecida conforme al derecho interno requiere de una norma de desarrollo, al tratarse la protección de datos personales de un derecho fundamental, que tenga rango de ley, tal como contempla el artículo 8 de la Ley orgánica 3/2018 de protección de datos personales y garantía de derechos digitales (LOPDGDD).
En este sentido, la Ley 7/1985 reguladora de las bases del régimen local (LBRL) recoge la gestión de los residuos sólidos urbanos como competencia propia de los municipios (art. 25.2.b)). Por su parte, la LRSCEC en su artículo 12.5 contempla la consideración de la gestión de los residuos domésticos como servicio obligatorio de competencia local, junto a la aprobación de programas de gestión de residuos 3 ; gestionar la información en relación sus obligaciones derivadas de la legislación de residuos y suministrarla a las Comunidades Autónomas y; finalmente, ejercer la potestad de vigilancia e inspección y la sancionadora en el ámbito de sus competencias.
No obstante, la más reciente resolución del procedimiento sancionador, PS/00547/2022, de la AEPD, sobre la reclamación de los servicios de SCPSA ha aportado una importante y, en ciertos ámbitos criticable, aclaración a la base de legitimación. Conforme al criterio de la AEPD, la legislación estatal sobre gestión de residuos ha establecido que las entidades locales tengan que cumplir unos objetivos vinculados a la recogida separada de los residuos o a su reutilización y al reciclado, al mismo tiempo que ha dejado que sean éstas las que determinen los medios de cómo conseguirlo, medios que tienen que figurar y concretarse en las ordenanzas locales. Esto significa que la ley solamente determina los fines, habilitando a las entidades locales, a través de sus respectivas ordenanzas que determinen los medios. Es decir, que la ordenanza es la que debería incluir el tratamiento de datos de carácter personal y no solo el tratamiento de datos de los contenedores, en su caso 4 . Por lo tanto, en dichas ordenanzas locales se tendrían que incluir o no cuestiones de protección de datos, en los términos del artículo 6.3 RGPD 5 , y encontrando ahí su base de legitimación. Sin embargo, esta perspectiva de la AEPD resulta cuestionable, en la medida en que la LBRL y la LRSCEC realizan una clara atribución de competencias a las entidades locales, configurando la gestión de residuos domésticos como un servicio público obligatorio. No puede hablarse aquí de una simple determinación de fines y quedar condicionadas a una previsión de las ordenanzas. La atribución de competencias a las entidades locales se ha visto reforzada con la nueva ley de residuos, erigiéndose la gestión de residuos municipales como una de las claves para alcanzar los objetivos marcados y la eficiencia. Las entidades locales están obligadas no sólo a reconfigurar el servicio público de recogida, transporte y tratamiento de residuos sino a ejercer las funciones obligatorias y vinculadas con las planificación o programación, así como gestionar información relativa a los residuos municipales, todo ello en el marco de la estrategia de economía circular. En este sentido, la Agència de Residus de Catalunya, en colaboración con la Autoridad Catalana de Protección de Datos (ACPD), ha publicado en este año 2023 una “Guía de protección de datos personales para los sistemas de recogida de residuos con identificación y en tasas justas”, con una apartado dedicado a las bases de legitimación del uso de datos incidiendo en su encuadre en el cumplimiento de una misión en interés público y ejercicio de poderes públicos del artículo 6.1 del RGPD, vinculado a la LRSCEC 6
Cuestión diferente, dice la AEPD, sería respecto al uso de los datos para la imposición de la tasa que permita el pago por generación. La tasa se encuentra recogida en el texto refundido de la Ley reguladora de las haciendas locales, aprobado por el Real decreto legislativo 2/2004, de 5 de marzo, estableciendo que los servicios de recogida y tratamiento de residuos pueden estar sujetos a tasas (artículo 20.4.s)), que deben ser fijadas por ordenanzas fiscales (art. 40.4). Si bien, el artículo 11.3 LRSCEC ha impuesto como obligación a las entidades locales el establecimiento de una tasa o prestación patrimonial de carácter público no tributaria, diferenciada, que permita implantar sistemas de pago por generación. Tasa cuya complejidad se acrecienta si no puede determinarse de manera diferenciada la cantidad real de residuos que se generan, lo que requiere de forma ineludible el tratamiento de los datos de carácter personal correspondientes.
Respecto a la cesión de datos, en el caso expuesto en el dictamen se trataba de un flujo de datos desde el ayuntamiento hacia la empresa concesionaria del servicio y, también, desde esa empresa a la empresa proveedora de la solución tecnológica que emplearían para el uso de una aplicación móvil en la implementación del servicio de recogida.
Inicialmente es necesario aclarar los roles de responsable y encargado de tratamiento en este tipo de relaciones. Así, la AEPD emitió un informe en 2019 ref.000809/2019 aclarando que precisamente ha sido el legislador nacional el que ha considerado a los contratistas de la Administración como encargados del tratamiento, y concluyendo que con carácter general se entiende que las contrataciones sometidas a la Ley 9/2017 de Contratos del Sector Público (LCSP) confieren a la entidad pública contratante la cualidad de responsable del tratamiento derivada de su actividad contractual en la gestión de servicios públicos de competencia local 7 . Mientras que, del mismo modo, las entidades contratadas para la prestación de servicios públicos tendrán esa consideración de encargadas de tratamiento. Para el caso concreto sometido a consulta, en las actividades de las empresas concesionarias en el ámbito de la gestión municipal, se estaría ante un acceso a datos por cuenta de terceros, la característica básica del encargado del tratamiento, derivando el título jurídico habilitante del propio contrato administrativo. Ahora bien, en un informe posterior, emitido por la AEPD, aclara que, aunque el legislador entienda que de manera general el poder adjudicador ostentará la figura de responsable de tratamiento y el contratista la de encargado, se deberá atender a las circunstancias del caso concreto para determinar si el segundo podría tener la consideración de responsable de tratamiento. A mayores, cuando se aplica la LCSP la disposición adicional 25º prevé que cuando la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, el contratista tendrá la consideración de encargado del tratamiento.
Conforme al artículo 33.1 de la LOPDGDD el acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en RGPD. De esta forma, sería necesario que ya desde el inicio de la implementación del servicio se formalizase un encargo de tratamiento entre el ayuntamiento y la entidad adjudicataria que podrá plasmarse en una cláusula en el propio contrato público. Esta debería contener el objeto, duración, naturaleza y finalidad del tratamiento, así como el tipo de datos personales y categorías de interesados y las obligaciones y derechos de los responsables 8 . Al mismo tiempo debería establecer la previsión de que el ayuntamiento autoriza a la entidad contratada a subcontratar determinados servicios que la entidad considere esenciales para garantizar la correcta prestación del servicio de recogida selectiva. Igualmente, podría incluirse un anexo que describiría en detalle los datos personales a proteger, el tratamiento a realizar y las medidas a implementar por el adjudicatario.
Por otra parte, también sería necesario que la entidad adjudicataria formalizase un contrato específico con la subcontratada, en el que se establezcan todas las obligaciones que el ayuntamiento como responsable le impone como encargada de tratamiento. Otra cuestión interesante es la ubicación de los servidores de las entidades, para el almacenamiento o recogida de datos, que podría llegar a implicar una transferencia internacional de datos y se regirían por lo establecido en los artículos 44 a 50 del RGPD.
En cualquier caso, esta relación y flujo de datos supone que el encargo de tratamiento debe establecer la obligación del encargado de adoptar todas las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, y ajustarse al Esquema nacional de Seguridad. En este sentido, sería interesante que el ayuntamiento en cuestión tuviera en cuenta si el contratista emplea algún tipo de mecanismo de certificación sobre los estándares de seguridad.
Resulta clave señalar aquí una de las modificaciones realizadas por el Real Decreto Ley 14/2019 a la LCSP, que es la que tiene por objeto el artículo 39 de la LCSP. Este artículo, que regula las causas de nulidad de los contratos, ha visto ampliado su apartado 2 con la letra h), que incluye como causa de nulidad de pleno derecho la celebración de contratos por parte de poderes adjudicadores que omitan mencionar en los pliegos las obligaciones del futuro contratista en materia de protección de datos previstas en el párrafo 2º del artículo 122.2 de la LCSP tras su modificación también por el citado Real Decreto-Ley. Este nuevo párrafo prevé que, en aquellos contratos cuya ejecución requiera el tratamiento por el contratista de datos personales por cuenta del responsable del tratamiento, en el pliego se deben hacer constar los siguientes aspectos: finalidad para los que sería cedidos los datos; obligación del futuro contratista de someterse a la normativa nacional y de la UE; la obligación de la empresa adjudicataria de presentar antes de la formalización del contrato una declaración en la que se establezca dónde estarán ubicados los servidores en los que se encuentran los datos y desde dónde se prestarán esos servicios; y, la obligación de comunicar cualquier cambio que se produzca respecto a lo anterior.
Además, de acuerdo con esta modificación, los pliegos de contratos que impliquen la cesión de datos de la entidad contratante al contratista deberán integrar una condición especial de ejecución que haga referencia a la obligación del contratista de someterse a la normativa nacional y de la Unión Europea en materia de protección de datos, advirtiéndose además al contratista de que esta obligación tiene el carácter de obligación contractual esencial (art. 202.1 LCPS). Por su parte, los licitadores tienen la obligación de indicar en su oferta si tienen previsto subcontratar los servidores o los servicios asociados a los mismos dando el nombre o el perfil empresarial definido por la referencia a las condiciones de solvencia profesional o técnica.
1 Modelos a los que alude el artículo 25.2 LRSCEC.
2 El artículo 11.3 de la LRSCEC establece la obligación para las entidades locales de que, en el plazo de tres años a contar desde la entrada en vigor de la ley, una tasa o, en su caso, una prestación patrimonial de carácter público no tributario, específica, diferenciada y no deficitaria, que permita implantar sistemas de pago por generación. El pago por generación representa la traducción del principio de “quien contamina paga”, en su aplicación en las tasas de residuos. Este supone computar la generación real de hogares o comercios y definir el importe de la tasa en atención a la cantidad y tipo de residuos generados”, en Observatorio de la fiscalidad de los residuos, https://www.fiscalidadresiduos.org/pxg/.
3 Este se exige con carácter obligatorio cuando se trate de entidades con población superior a 5.000 habitantes.
4 El artículo 20.3 de la LRSCE establece que “el productor inicial u otro poseedor de residuos domésticos deberá separar en origen sus residuos y entregarlos en los términos que se establezcan en las ordenanzas de las entidades locales […].”
5 Artículo 6.3. “La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por: a) el Derecho de la Unión, o b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento. La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido”.
6 En este caso, la guía hace una distinción entre tres tipologías de datos personales: los datos contractuales (como la dirección o datos de contacto) que tendrían su legitimación en el cumplimiento de la misión en interés público y ejercicio de poderes públicos, conforme al art. 6.1 RGPD y el artículo 25.2 de la LRSCEC; los datos relaciones con los residuos (las aportaciones de residuos realizadas) que tendrían su legitimación además en el artículo 26 de la LRSCEC, que es relativo a los objetivos de reciclaje, en los que el conocer el comportamiento de usuarios es necesario para emprender acciones de mejora y; los datos complementarios (como alta en una posible aplicación) donde aquí se aplicaría el consentimiento del usuario.
7 La LOPDGDD establece una excepción en el marco de la contratación pública, y es que según su artículo 33.2 tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados, pero la misma no será aplicable a los encargados de tratamiento que se realicen en el marco de la legislación de contratos públicos
8 Las previsiones del artículo 28.3 RGPD.